Compartilhar via

Suporte para Windows Proteção de Informações (WIP) no Windows

O Windows Proteção de Informações (WIP) é uma solução simples para gerir o acesso a dados da empresa e a segurança em dispositivos pessoais. O suporte do WIP está incorporado no Windows.

Observação

A partir de julho de 2022, a Microsoft vai preterir o Windows Proteção de Informações (WIP). A Microsoft continuará a suportar o WIP em versões suportadas do Windows. As novas versões do Windows não incluirão novas capacidades para o WIP e não serão suportadas em versões futuras do Windows. Para obter mais informações, consulte Anunciar o pôr-do-sol do Windows Proteção de Informações.

Para as suas necessidades de proteção de dados, a Microsoft recomenda que utilize Proteção de Informações do Microsoft Purview e Prevenção Contra Perda de Dados do Microsoft Purview. O Purview simplifica a configuração da configuração e fornece um conjunto avançado de capacidades.

Integração com Microsoft Entra ID

O WIP está integrado com Microsoft Entra serviço de identidade. O serviço WIP suporta Microsoft Entra autenticação integrada para o utilizador e o dispositivo durante a inscrição e a transferência de políticas wip. A integração do WIP com Microsoft Entra ID é semelhante à integração da gestão de dispositivos móveis (MDM). Veja Microsoft Entra integração com a MDM.

O WIP utiliza a Associação à Área de Trabalho (WPJ). O WPJ está integrado na adição de um fluxo de conta profissional a um dispositivo pessoal. Se um utilizador adicionar a conta de Microsoft Entra escolar ou profissional como uma conta secundária ao computador, o respetivo dispositivo está registado no WPJ. Se um utilizador associar o respetivo dispositivo a Microsoft Entra ID, este será inscrito na MDM. Em geral, um dispositivo que tenha uma conta pessoal como conta principal é considerado um dispositivo pessoal e deve ser registado no WPJ. Uma associação Microsoft Entra e a inscrição na MDM devem ser utilizadas para gerir dispositivos empresariais.

Em dispositivos pessoais, os utilizadores podem adicionar uma conta de Microsoft Entra como uma conta secundária ao dispositivo, mantendo as suas conta pessoal como primárias. Os utilizadores podem adicionar uma conta Microsoft Entra ao dispositivo a partir de uma aplicação Microsoft Entra integrada suportada, como a próxima atualização das aplicações do Microsoft 365. Em alternativa, os utilizadores podem adicionar uma conta Microsoft Entra a partir de Definições > Contas > de Acesso profissional ou escolar.

Os utilizadores não administradores normais podem inscrever-se na MAM.

Compreender o Windows Proteção de Informações

O WIP tira partido das políticas incorporadas para proteger os dados da empresa no dispositivo. Para proteger aplicações pertencentes ao utilizador em dispositivos pessoais, o WPJ limita a imposição de políticas WIP a aplicações otimizadas e aplicações com deteção de WIP. As aplicações otimizadas podem diferenciar entre dados empresariais e pessoais, determinando corretamente quais proteger com base nas políticas wip. As aplicações com deteção de WIP indicam ao Windows que não processam dados pessoais e, por conseguinte, é seguro para o Windows proteger os dados em seu nome.

Para que as aplicações estejam cientes do WIP, os programadores de aplicações têm de incluir os seguintes dados no ficheiro de recursos da aplicação.

// Mark this binary as Allowed for WIP (EDP) purpose
MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
  BEGIN
      0x0001
  END

Configurar um inquilino Microsoft Entra para inscrição MAM

A inscrição MAM requer integração com Microsoft Entra ID. O fornecedor de serviços MAM tem de publicar a aplicação MDM de Gestão na galeria de aplicações Microsoft Entra. A mesma aplicação MDM de Gestão baseada na cloud no Microsoft Entra ID suporta inscrições MDM e MAM. Se já publicou a sua aplicação MDM, esta tem de ser atualizada para incluir a Inscrição MAM e os URLs dos Termos de utilização. Esta captura de ecrã ilustra a aplicação de gestão para uma configuração de administrador de TI.

Aplicação de gestão de aplicações móveis.

Os serviços MAM e MDM numa organização podem ser fornecidos por fornecedores diferentes. Dependendo da configuração da empresa, normalmente, o administrador de TI tem de adicionar uma ou duas aplicações de Gestão de Microsoft Entra para configurar políticas de MAM e MDM. Por exemplo, se a MAM e a MDM forem fornecidas pelo mesmo fornecedor, um Administração de TI tem de adicionar uma aplicação de Gestão deste fornecedor que contenha políticas de MAM e MDM para a organização. Em alternativa, se os serviços MAM e MDM numa organização forem fornecidos por dois fornecedores diferentes, duas aplicações de Gestão dos dois fornecedores têm de ser configuradas para a empresa no Microsoft Entra ID: uma para MAM e outra para MDM.

Observação

Se o serviço MDM numa organização não estiver integrado com Microsoft Entra ID e utilizar a deteção automática, apenas uma aplicação de Gestão para MAM tem de ser configurada.

Inscrição MAM

A inscrição MAM baseia-se na extensão MAM do protocolo [MS-MDE2]. A inscrição MAM suporta Microsoft Entra ID autenticação federada como o único método de autenticação.

Estas são as alterações de protocolo para a inscrição de MAM:

  • A deteção de MDM não é suportada.
  • O nó APPAUTH no DMAcc CSP é opcional.
  • A variação da inscrição MAM do protocolo [MS-MDE2] não suporta o certificado de autenticação de cliente e, por conseguinte, não suporta o protocolo [MS-XCEP]. Os servidores têm de utilizar um token de Microsoft Entra para autenticação de cliente durante as sincronizações de políticas. As sessões de sincronização de políticas têm de ser realizadas através de TLS/SSL unidirecional através da autenticação de certificado de servidor.

Eis um exemplo de aprovisionamento de XML para inscrição MAM.

<wap-provisioningdoc version="1.1">
  <characteristic type="APPLICATION">
    <parm name="APPID" value="w7"/>
    <parm name="PROVIDER-ID" value="MAM SyncML Server"/>
    <parm name="NAME" value="mddprov account"/>
    <parm name="ADDR" value="http://localhost:88"/>
    <parm name="DEFAULTENCODING" value="application/vnd.syncml.dm+xml" />
  </characteristic>
</wap-provisioningdoc>

Uma vez que o nó Poll não é fornecido neste exemplo, o dispositivo seria predefinido para uma vez a cada 24 horas.

CSPs suportados

O WIP suporta os seguintes fornecedores de serviços de configuração (CSPs). Todos os outros CSPs estão bloqueados. Tenha em atenção que a lista pode ser alterada mais tarde com base nos comentários dos clientes:

Políticas de bloqueio de dispositivos e EAS

A MAM suporta políticas de bloqueio de dispositivos semelhantes à MDM. As políticas são configuradas pela área DeviceLock do CSP de Política e PassportForWork CSP.

Não recomendamos a configuração de políticas de Exchange ActiveSync (EAS) e MAM para o mesmo dispositivo. No entanto, se ambos estiverem configurados, o cliente comporta-se da seguinte forma:

  • Quando as políticas EAS são enviadas para um dispositivo que já tem políticas de MAM, o Windows avalia se as políticas de MAM existentes estão em conformidade com as políticas EAS configuradas e comunica a conformidade com o EAS.
  • Se o dispositivo for considerado conforme, o EAS comunica a conformidade com o servidor para permitir a sincronização do correio. A MAM suporta apenas políticas EAS obrigatórias. Verificar a conformidade do EAS não requer direitos de administrador do dispositivo.
  • Se o dispositivo for considerado não conforme, o EAS impõe as suas próprias políticas ao dispositivo e o conjunto resultante de políticas é um superconjunto de ambos. A aplicação de políticas EAS ao dispositivo requer direitos de administrador.
  • Se um dispositivo que já tem políticas EAS estiver inscrito na MAM, o dispositivo tem ambos os conjuntos de políticas: MAM e EAS e o conjunto de políticas resultantes são um superconjunto de ambas.

Sincronização de políticas

As sincronizações de políticas de MAM são modeladas após a MDM. O cliente MAM utiliza um token de Microsoft Entra para autenticar no serviço para sincronizações de políticas.

Alterar a inscrição MAM para MDM

O Windows não suporta a aplicação de políticas de MAM e MDM nos mesmos dispositivos. Se configurado pelo administrador, os utilizadores podem alterar a inscrição MAM para MDM.

Observação

Quando os utilizadores atualizam da MAM para a MDM na edição Windows Home, perdem o acesso ao Windows Proteção de Informações. Na edição Windows Home, não recomendamos que emita políticas mdm para permitir que os utilizadores atualizem.

Para configurar o dispositivo MAM para a inscrição MDM, o administrador tem de configurar o URL de Deteção de MDM no CSP DMClient. Este URL é utilizado para a inscrição mdm.

No processo de alteração da inscrição MAM para MDM, as políticas de MAM serão removidas do dispositivo após as políticas de MDM terem sido aplicadas com êxito. Normalmente, quando as políticas de Proteção de Informações do Windows são removidas do dispositivo, o acesso do utilizador a documentos protegidos pelo WIP é revogado (eliminação seletiva), a menos que eDP CSP RevokeOnUnenroll esteja definido como falso. Para impedir a eliminação seletiva na alteração da inscrição da MAM para a MDM, o administrador tem de garantir que:

  • As políticas de MAM e MDM para a organização suportam o Windows Proteção de Informações.
  • O EDP CSP Enterprise ID é o mesmo para MAM e MDM.
  • EDP CSP RevokeOnMDMHandoff está definido como falso.

Se o dispositivo MAM estiver configurado corretamente para inscrição MDM, a ligação Inscrever apenas na gestão de dispositivos é apresentada em Definições > Contas > de Acesso profissional ou escolar. O utilizador pode selecionar esta ligação, fornecer as respetivas credenciais e a inscrição será alterada para MDM. A conta Microsoft Entra deles não será afetada.